COSO内部控制体系及应用(PPT)

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2012-5-31,#,COSO,内 部 控 制,体系及应用,2005,年,9,月,23,日,天津,Pwc,普 华 永 道,目录,1.,COSO,内部控制框架,2.,如何评价内部控制体系,3.,小结,4.,问题解答,COSO,内部控制体系,Pwc,普 华 永 道,4,内部控制定义,每当提起内部控制，一般认为,它包括以下几方面：,成本控制,反欺诈,加强控制,=,官僚作风,=,降低运作,的灵活性,=,更差的业绩,但这不是现代内部控制,!,Pwc,普 华 永 道,5,内部控制定义,内部控制,是由公司董事会批准，管理层和其他有关人,实施，为达到以下目标而提供合理保证的程序：,经营的效率和效果,强调公司的基本经营目标，包括绩效和利润目标及资源的安全可靠性,财务报告的可靠性,包括可靠的财务报表及其他财务信息的准备,法律及法规的合规性,包括公司必须遵守的法律、法规，以维护良好的信誉，避免负面影响,COSO,及美国审计准则第,319,条,Pwc,普 华 永 道,6,内部控制体系, COSO,1992,年完成的报告,内部控制的整体框架,从根本上统,一了对内部控制的认识，其所设计的内部控制模型也被,全世界公认为内部控制的标准模型。,The,Committee Of Sponsoring Organization,of Treadway Commission),COSO,致力于通过强化商业道德、建立完善有效的内部控制和法人,治理结构以提高财务报告的质量。它从属于,1985,年成立的反虚假财,务报告委员会,(,也被称为,Treadway,委员会,),， 是由美国注册会计师协,会,(AICPA),、内部审计协会,(IIA),、财务经理协会,(FEI),、美国会计学,会,(AAA),、管理会计学会,(IMA),等多个专业团体组成。,Pwc,普 华 永 道,告,营,务,报,运,财,合,规,性,监督,不断评估内部控制系统的表现。,整合实时和独立的评估。,控制活动,确保管理活动付诸实施的政策,/,流程。,管理层和监督活动。,内部审计工作。,措施包括审批、授权、确认、,建议、业绩考核、资产安全和,职责分离。,信息和沟通,及时地获取，确定并交流相关的信息,从内部和外部获取信息,使得形成从职责方面的指示到管理层,有关管理行动的发现总结等各方面各,类内部控制成功的措施的信息流,风险评估,风险评估是为了达到企业,目标而确认和分析相关的,风险,-,形成内部控制活动的,基础,7,COSO,内部控制框架,监督,不断评估内部控制系统的表现。,整合实时和独立的评估。,管理层和监督活动。,内部审计工作。,监控,信息和沟通,控制活动,风险评估,活,活 动,业 动,2,业 务,1,务 单,单 位,位,B,A,控制活动,确保管理活动付诸实施的政策,/,流程。,措施包括审批、授权、确认、,建议、业绩考核、资产安全和,职责分离。,控制环境,信息和沟通,及时地获取，确定并交流相关的信息,从内部和外部获取信息,使得形成从职责方面的指示到管理层,有关管理行动的发现总结等各方面各,类内部控制成功的措施的信息流,控制环境,营造单位气氛让公司员工建立内部,控制,因素包括正直，道德价值，能力，权,威和责任,是其他内部控制组成部分的基础,所有的五个部分必须同时作用才能使,内部控制得以产生影响,风险评估,风险评估是为了达到企业,目标而确认和分析相关的,风险,-,形成内部控制活动的,基础,Pwc,普 华 永 道,8,内部控制体系, COSO,模型,要素一 ：控制环境 内部控制的基础,营,经,财,监控,务,告,报,合,规,性,活,控制环境：,是企业的整体气氛,信息和沟通,控制活动,风险评估,控制环境,活 动,单 动,2,单 元,1,元,B,A,影响员工的控制意,是其他要素的基础,提供纪律约束和架,Pwc,普 华 永 道,9,控制环境,控制环境主要包括：,1.,员工的诚信和道德观,员工的胜任能力,董事会和审计委员会,管理层的经营理念和经营风格,组织结构,管理层授权和职责分工,人力资源政策和措施,Pwc,普 华 永 道,经,10,内部控制体系, COSO,模型,要素二：风险评估,营,告,报,务,财,监控,信息和沟通,控制活动,合,性,规,活,活 动,单 动,2,单 元,1,元,B,评估风险是为了有效控制风险,管理层对风险的识别,是目标实现过程中相关內外部风险分析,估计风险的重大程度，可能性,风险评估,A,控制环境,随着经济，产业，制度和操作环境的不断变化，需,要建立相应机制以发现和处理这些变化所带来的特,殊风险,Pwc,普 华 永 道,11,风险评估,目标,风险识别,风险分析,主要风险,措施,经,营,效,率,和,效,果,财,务,报,告,法,律,及,法,规,的,可,靠,性,的,合,规,性,过,滤,Pwc,普 华 永 道,12,内部控制体系, COSO,模型,要素,3,：控制活动,营,经,财,务,告,报,合,规,性,监控,信息和沟通,控制活动,风险评估,控制环境,活,活 动,单 动,2,单 元,1,元,B,A,控制活动,对确认的风险采取必要措施，以保证公,司目标得以实现,遍布公司各处，涉及公司各个层面以及,各项职能,Pwc,普 华 永 道,13,控制活动,控制活动类型包括：,按照不同作用，控制活动可分为预防性控制和纠错性控制两类,控制活动的形式也可以分为：,业绩评价，如实际与预算、同期和行业标准的对比,审批，授权，确认,实物控制， 如资产安全性， 定期盘点，对计算机及数据,资料的权限控制,责任分离，如业务授权、业务执行、业务记录、对业绩,的独立检查的职能分离,Pwc,普 华 永 道,14,控制活动,业务流程和控制程序可以是人工的，也可以是自动的,人工的,采购定单,申请目的,/,申请人签字,审批和签字,自动的,收货,发票,输入采购,订单信息,采购订单,系统,核对数据,更新数据,三方匹配,Pwc,普 华 永 道,A,15,内部控制体系, COSO,模型,要素,4,：信息和沟通,营,经,财,监控,务,告,报,合,规,性,活,企业定期获取及交流内外部的信息，帮,助员工履行职责,信息和沟通,控制活动,风险评估,控制环境,活 动,单 动,2,单 元,1,元,B,信息的识别和获取,信息加工和报告,内部沟通和外部沟通,Pwc,普 华 永 道,16,信息和沟通,相关信息必须采用恰当的形式并在恰当的时间内沟通，以便相,关人员能有效履行职责，采取适当行动。,例如：,建立一个有效机制，使相关信息在管理层及时共享，使相关各层面拥有,所需信息,管理层清晰定义每个员工的职责及公司政策和程序并进行充分沟通,建立适当的管理层内部沟通以及公司与外部机构定期沟通的程序,建立目标以便衡量进度、发现问题并及时采取改进措施,IT,部门拥有大多数的财务信息（储存于,IT,系统中）。管理层应关注这些,IT,系统及信息的安全、可靠、完好性,管理层建立有效地,IT,系统来协助信息的有效沟通（包括业务支持系统、,决策支持系统、财务报告系统、监控系统、,e-mail,系统等）,Pwc,普 华 永 道,经,17,内部控制体系, COSO,模型,要素,5,：监控,营,告,报,务,财,监控,信息和沟通,控制活动,风险评估,合,性,规,活,活 动,单 动,2,单 元,1,元,B,A,监控是评估内控系统在一定时期内运行质量的,过程，目的是保证内部控制持续有效,其范围和频率取决于风险的重大性或现有监控,程序实施的有效性,监控的方式包括：,持续性监控，包括日常管理、监督、比较,、核对等,控制环境,独立的评估，即独立与控制活动之外，如,内部审计,Pwc,普 华 永 道,18,内部控制体系,信息与沟通,风险评估,流程,XX,XX,交易发生,控制活动,管理报告,/,财务信息,财务,报表,XX,XX,监控,控制环境,Pwc,普 华 永 道,19,内部控制常见问题举例,控制环境,高度竞争的环境,(,对内控的压力,),分散管理,/,控制,非正式的管理程序,缺乏细化的业绩考核指标,/,不完善的激励机制,低效率的组织结构,不健全的审计委员会架构,Pwc,普 华 永 道,20,内部控制常见问题举例,风险评估,对潜在的风险缺乏整体性认识和系统性归类,缺乏对完善的业务控制体系的全面了解,缺乏对风险评估方式、方法、程序的了解,Pwc,普 华 永 道,21,内部控制常见问题举例,内控活动,缺乏完整细化的,“标准运作流程”,不健全的职责分离,过度的集权,/,分权体系,缺乏独立的复核程序,Pwc,普 华 永 道,22,内部控制常见问题举例,信息与沟通,大部分采用手工控制,缺乏有效的成本管理及预算方法,过时的管理信息系统,缺乏以关键业绩考核指标为基础的管理报告及分析,缺乏先进实践、行业实例与经验的培训,Pwc,普 华 永 道,23,内部控制常见问题举例,监控,以人事关系或非正式手段进行监督,过于集中在财务领域的内部审计职能,审计委员会的监督作用较为薄弱,监控上缺乏独立性,Pwc,普 华 永 道,24,我们客户中常见内部控制问题,各层次的人员缺乏现代管理实践知识,缺乏应有的资源,存在变革的内部阻力,缺少现代管理体系和工具,监控的范围和力度不够充分、统一,Pwc,普 华 永 道,不可依赖的,内部控制,非正式的,内部控制,标准化的,内部控制,有监控的,内部控制,最优化的,内部控制,控制环境不可预,期，未设计相应,的控制程序或控,制程序失效,报告和控制程,序已设计并正,常运行，但未,作适当记录,报告和控制,程序已设计并,正常运行，且,适当记录,定期测试标准化,控制程序的有效,性，并报告管理,层,管理层即时监,控并不断完善,的内部控制构,架,25,内部控制的发展进程,Internal Controls Maturity Framework,内部控制发展构架,不可依赖的,内部控制,控制环境不可预,期，未设计相应,的控制程序或控,制程序失效,非正式的,内部控制,报告和控制程,序已设计并正,常运行，但未,作适当记录,标准化的,内部控制,报告和控制,程序已设计并,正常运行，且,适当记录,有监控的,内部控制,定期测试标准化,控制程序的有效,性，并报告管理,层,最优化的,内部控制,管理层即时监,控并不断完善,的内部控制构,架,中国,学习,正式化,标准化,已发展国家,提升,改进,Pwc,普 华 永 道,如何评价内部控制体系,Pwc,普 华 永 道,1.,2.,3.,4.,5.,6.,7.,8.,9.,27,控制环境,监管部门的参与,管理层应该向员工传达诚信与道德标准，必须不折不扣的执行。员工应该知晓和理解这,些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。,董事会或审计委员会是独立于管理层的，这样必要时能够提出有挑战性甚至审查式,的问题。,建立董事会专门委员会以特别关注和处理相关重要事件。,董事的知识和经验,与内、外部审计师等的会面频率和接触,为董事会或专门委员会委员提供信息的及时性和充分性，以便及时监督管理层的目,标和战略、公司的财务状况和经营成果、以及重大协议的条款等。,为董事会或审计委员会提供充分、及时的信息，以便及时获知敏感信息、调查、不,当行为（例如：监管机构调查、贪污、挪用公款、滥用公司财产、违反内部人员交,易法规、非法支付等）。,监督高级管理人员的薪酬，聘用和解聘高级管理人员。,建立“高层管理基调”,董事会或审计委员会依据其发现采取行动，包括特殊调查。,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,3.,28,控制环境,管理理念和经营风格,管理层的管理理念和经营风格通常对公司有重大影响。这些虽然是无形的，但是正面或,负面影响的迹象是可以观察到的。,接受的业务风险的性质，例如：管理层是否经常介入特,别高风险的业务，还是在接受风险方面非常保守。,在关键职能部门的人员流动率，例如：经营、会计和数,据处理部门等。,管理层对数据处理和会计职能的态度，以及对财务报告,4.,和资产安全可靠性的关心。,高级管理层和业务部门管理层相互交流的频率，特别是,营,运,5.,双方处于不同的地域时。,对财务报告的态度和行动，包括对采取的会计处理的争,议（例如：采取保守的还是激进的会计政策；会计原则,是否被滥用了；关键的财务信息没有被披露；或会计记,录被粉饰或篡改了）。,监控,信息和沟通,控制活动,风险评估,业,务,单,位,A,活,活 动,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,3.,29,控制环境,诚信与道德观,管理层应该向员工传达诚信与道德标准，必须不折不扣的执行。员工应该知晓和理解这,些规定。管理层应该通过言谈和行动的方式表现出对道德标准的重视。,存在行为准则及其他相关可接受的商业行为、利益冲,突、伦理的道德标准等的政策，并有效执行。,“高层管理基调”的建立包括明确的道德指导（什么,是对的和错的），,和在公司范围内进行沟通的程度的指导。与员工、供应,商、客户、投资人、债权人、保险人、竞争对象和审计,师等的关系。（例如：管理层进行商业行为时，是否非,常关注道德标准，是否也要求其他人遵守道德标准，还,营,运,4.,5.,6.,是根本不关注道德问题。）,针对违反政策和道德准则的情况采取适当的措施。采取,措施的范围在公司内进行沟通。,管理层对干预或逾越既定控制制度的态度。,达到不切实际的目标的压力，特别是那些短期目标，薪,监控,信息和沟通,控制活动,风险评估,业,务,单,位,A,活,活 动,业 动,2,务,1,单,位,B,酬多大程度上基于业绩目标的实现。,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,30,控制环境,胜任能力,管理层应该明确规定不同工作所需要的能力级别，并将能力级别细化为必备的知识和技,术。,是否存在正式和非正式的工作描述，或其它能说明具体,工作的任务和责任的方式。,分析胜任工作所需要的知识和技能。,营,运,监控,活,活 动,信息和沟通,控制活动,风险评估,业,务,单,位,A,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,3.,31,控制环境,组织结构,组织机构不应该太简单以至于不能足够地监控公司的业务活动，也不应该太复,杂以至于阻止了信息的顺畅流动。行政人员应该完全理解他们的控制责任，并,且拥有与他们的职位相称的经验和知识。,公司组织结构的适当性，以及其提供管理活动必要的信,息流的能力。,关键经理的职责定义，以及他们对自身职责的理解。,关键经理人员充分具备其相关职责的知识和经验。,4.,5.,报告关系的适当性,组织结构会在何种程度上随环境的变化而变化,营,运,6.,存在足够数量的雇员，特别是管理和监督人员,监控,信息和沟通,控制活动,风险评估,业,务,单,位,A,活,活 动,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,3.,32,控制环境,权利和责任的分配,责任的分配、授权和相关的政策提供了责任和控制的基础，明确了员工各自的角色。,根据公司的目标、经营职能和监管要求，分配责任和授,权，包括信息系统的责任和变化的授权。,与控制相关的标准、程序的适当性，包括员工职责描,述。,职员数量的适当性，特别是数据处理和会计职能。这些,职员应具备与企业规模、业务活动和系统相适应的技能,水平。,营,运,4.,授权和所分配的责任相吻合。,监控,信息和沟通,控制活动,风险评估,业,务,单,位,A,活,活 动,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,3.,4.,5.,33,控制环境,人力资源政策及实施,人力资源政策是招聘和保持有能力的人员，以使公司计划得以执行，目标得以实现。,雇佣、培训、晋升和员工薪酬的政策及程序,员工应意识到他们的工作职责和公司对他们的期望。,对违背政策和程序的行为的校正。,人力政策与相应的道德标准一致。,核查候选人的背景，特别要考虑公司不能接受的行为或,活动。,营,运,6.,适当的员工保留和晋升标准、信息收集技术（如：工作,评价等），与行为规范或其他行为准则的关系。,监控,信息和沟通,控制活动,风险评估,业,务,单,位,A,活,活 动,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,34,风险评估,企业的风险评估程序应该从企业层次和业务活动层次两个角度识别风险，并分析其相关,影响。 风险评估程序还应该考察会影响目标实现的内部因素和外部因素，对这些风险,因素进行分析，从而为风险管理提供依据。,营,运,监控,活,活 动,信息和沟通,控制活动,风险评估,业,务,单,位,A,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,35,控制活动,控制活动包括很多政策和相关的实施程序，以保证管理层的决策得到有效执行。 它们,可以协助保证那些与影响企业目标实现的风险相关的措施得到实施。,针对企业的每一项业务活动都有必要和恰当的政策和程,序。,已确定的控制行为得到恰当的执行。,营,运,监控,活,活 动,信息和沟通,控制活动,风险评估,业,务,单,位,A,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,3.,控制环境,36,信息与沟通,信息,信息系统能够识别、获得、处理和报告各种信息。相关的信息包括从外部获取的行业、,经济、监管信息，以及内部产生的信息。,获取内部和外部信息，向管理层报告企业既定目标的实,现情况。,及时向适当的人员汇报足够的信息以便他们有效地履行,其职责。,信息系统的建立或修改基于对信息系统的战略规划,与,整个企业的战略相连,并且着眼于实现企业的目标和业,务活动层次的目标。,4.,通过承诺适当的资源,人力资源和财力资源，管理层,表现出对发展必要的信息系统的支持态度。,营,运,监控,活,活 动,信息和沟通,控制活动,风险评估,业,务,单,位,A,业 动,2,务,1,单,位,B,Pwc,普 华 永 道,1.,2.,3.,4.,5.,6.,7.,37,信息与沟通,沟通,沟通贯穿于信息处理的整个过程中。沟通还存在一种更广泛的意义，如：处理个人和团,体的期望、职责。有效的沟通必须在整个企业内进行；也包括在与外部进行沟通中。,向员工传达其职责和控制责任的有效性。,建立沟通渠道供员工反映他们注意到的可疑问题。,管理层对于员工提出的提高生产力、质量的建议或其他改进建议的接受能力。,整个企业内部是否充分交流,(,比如，采购和生产环节的交流,),；信息是否完整和及,时；以及信息是否足够满足相关人员有效地履行职责的需要。,是否有开放、有效的渠道，与客户、供应商和外部其他方面交流不断变化的客户需,求。,外部相关方了解企业道德标准的程度,在收到客户、供应商、监管者和其他外部人员反映的情况后，管理层采取的及时和,适当的应对措施。,Pwc,普 华 永 道,1.,2.,3.,4.,5.,6.,7.,38,监控,日常监控,日常监控发生在日常运作过程中，包括常规的管理、监管行为，和其他一些人员在履行,他们评估内控系统表现的职责时所采取的活动。,员工在从事其日常活动时，在多大程度上能获知有关内控系统是否正常运作的信,息。,外部反映的情况证实内部信息或揭露问题的程度。,定期将会计系统记录的结果与实物进行核对,对内部和外部审计师提出的加强内控的措施做出响应。,培训、筹备会议和其他会议向管理层就内控有效性进行反馈的程度。,是否要求员工定期声明他们是否理解并遵守了企业的行为准则，并且定期执行了重,要的控制活动。,内审活动的有效性。,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,3.,4.,39,监控,独立评估,不时审视内控系统，直接关注系统有效性是非常有用的。独立评估的范围和频率主要取,决于对风险的评估和日常监督的程序。,内控系统独立评估的范围和频率。,评估程序的适当性。,用于评估系统的方法是否合理、恰当。,文档记录的水平是否恰当。,营,运,监控,活,活 动,信息和沟通,控制活动,风险评估,业,务,单,位,A,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,财,务,报,告,合,规,性,1.,2.,3.,40,监控,报告缺陷,内控缺陷应该向上汇报，某些问题应向高级管理层和董事会汇报,存在适当的机制，来汇集并报告发现的内控缺陷。,汇报程序是否恰当。,跟踪行动是否适当。,营,运,监控,活,活 动,信息和沟通,控制活动,风险评估,业,务,单,位,A,业 动,2,务,1,单,位,B,控制环境,Pwc,普 华 永 道,小结,Pwc,普 华 永 道,42,改进并建立有效内部控制的步骤,通过恰当的调研和分析来了解提高公司价值的驱动力,评,估公司的风险,为公司各层次的人员确定目标和具体的业绩考核指标,建立对经营、财务和合规性的控制来支持这些目标,监督结果以确定资源的分配，从而不断提升业绩,定期进行调整，以适应经营环境的变化,Pwc,普 华 永 道,43,内部审计、内部控制与公司治理的关系,有效的公司治理需要有效的内部控制、风险管理和监控。内部审,计，以及健全的内控和风险管理在加强公司治理的过程中扮演着举,足轻重的角色。,股东,董事会,对股东,/,利益相关方的责任,公司治理,最高层,指引,授权和责任,监控,沟通和信息,分析风险,风险管理系统,建立控制,企业,资源,职能,资产,Pwc,普 华 永 道,把内部控制作为,现代管理工具,来实现银行的目标,45,问题解答,问题,?,Pwc,普 华 永 道,Pwc,